WordPress.org

Plugin Directory

Changeset 1659964


Ignore:
Timestamp:
05/18/17 08:20:54 (10 days ago)
Author:
bastho
Message:

Release 4.6.1

Location:
eelv-newsletter/branches/stable
Files:
2 edited

Legend:

Unmodified
Added
Removed
  • eelv-newsletter/branches/stable/lettreinfo.php

    r1659947 r1659964  
    44Plugin URI: https://wordpress.org/plugins/eelv-newsletter/ 
    55Description:  Add a registration form on frontOffice, a newsletter manager on BackOffice 
    6 Version: 4.6 
     6Version: 4.6.1 
    77Author: Bastien Ho 
    88Author URI: http://avecnous.eu 
     
    11571157        $this->inscform_action(); 
    11581158        //checkdb(); 
     1159 
     1160        if(!empty($_POST)){ 
     1161            if (!wp_verify_nonce(\filter_input(INPUT_POST, 'eelv_newsletter_addressbook', FILTER_SANITIZE_STRING), 'eelv_newsletter_addressbook')) { 
     1162        wp_die(__('Security error', 'eelv-newsletter')); 
     1163        } 
     1164        } 
    11591165        ?> 
    11601166        <div class="wrap"> 
     
    12421248              } 
    12431249              if (isset($_POST['grp_nom'])) { 
    1244                   $grp_nom = stripslashes($_POST['grp_nom']); 
     1250                  $grp_nom = sanitize_text_field($_POST['grp_nom']); 
    12451251                  if (is_numeric($grp_id)) { 
    12461252                      $query = "UPDATE $this->newsletter_tb_name SET `nom`='" . str_replace("'", "''", $grp_nom) . "' WHERE `id`='$grp_id'"; 
     
    12561262              } 
    12571263              if (isset($_POST['con_nom']) && is_numeric($grp_id)) { 
    1258                   $con_nom = stripslashes($_POST['con_nom']); 
    1259                   $con_email = stripslashes($_POST['con_email']); 
     1264                  $con_nom = sanitize_text_field(stripslashes($_POST['con_nom'])); 
     1265                  $con_email = sanitize_email(stripslashes($_POST['con_email'])); 
    12601266                  $for2 = 'liste'; 
    12611267                  $for = 'liste'; 
     
    13191325                                } 
    13201326                                foreach ($datas as $data) { 
    1321                                     $email = $data[$schema['email']]; 
    1322                                     $name = empty($schema['name']) ? str_replace("'", "''", substr($email, 0, strpos($email, '@'))) : $data[$schema['name']]; 
     1327                                    $email = sanitize_email($data[$schema['email']]); 
     1328                                    $name = sanitize_text_field(empty($schema['name']) ? str_replace("'", "''", substr($email, 0, strpos($email, '@'))) : $data[$schema['name']]); 
    13231329                                    if (filter_var($email, FILTER_VALIDATE_EMAIL)) { 
    13241330                                        $query.=" 
     
    13511357                  <?php _e('Edit group', 'eelv-newsletter'); ?> 
    13521358                            <form action='<?php echo  $action; ?>' method="post"> 
     1359                              <?php wp_nonce_field('eelv_newsletter_addressbook', 'eelv_newsletter_addressbook'); ?> 
    13531360                              <div id="titlediv"> 
    13541361                                <div id="titlewrap"> 
    1355                                   <input type="text" name="grp_nom" size="30" tabindex="1" value="<?php echo  $grp_nom; ?>" id="title" autocomplete="off"/> 
     1362                                  <input type="text" name="grp_nom" size="30" tabindex="1" value="<?php esc_attr_e($grp_nom); ?>" id="title" autocomplete="off"/> 
    13561363                                </div> 
    13571364                                <input type='submit' value='<?php _e('Save options', 'eelv-newsletter'); ?>' class="button-primary"/> 
     
    14371444                          <?php if ($nb_contacts > 0) { ?> 
    14381445                                        <form id='liste_mel' action="edit.php?post_type=newsletter&page=news_carnet_adresse&liste=<?php echo  $grp_id ?>&delcontacts" method="post"> 
    1439                                           <table class='eelv_news_groups widefat'> <tbody> 
     1446                                          <?php wp_nonce_field('eelv_newsletter_addressbook', 'eelv_newsletter_addressbook'); ?> 
     1447                                            <table class='eelv_news_groups widefat'> <tbody> 
    14401448                              <?php 
    14411449                              $coup = false; 
     
    14601468                          ?> 
    14611469                                <form action='<?php echo  $action; ?>' method="post" enctype="multipart/form-data"> 
     1470                                    <?php wp_nonce_field('eelv_newsletter_addressbook', 'eelv_newsletter_addressbook'); ?> 
    14621471                                    <input type="hidden" name="import_type" value='file_'> 
    14631472                                    <input type="hidden" name="con_separator" value='<?php echo $_POST['con_separator']; ?>'> 
     
    15221531                          ?> 
    15231532                                    <form action='<?php echo  $action; ?>' method="post" enctype="multipart/form-data"> 
     1533                                        <?php wp_nonce_field('eelv_newsletter_addressbook', 'eelv_newsletter_addressbook'); ?> 
    15241534                                      <ul> 
    15251535                                        <li> 
     
    15291539                                            <p style="margin-left:30px;"> 
    15301540                                                <label><?php _e('Name', 'eelv-newsletter'); ?> 
    1531                                                     <input type="text" class="widefat" name="con_nom" size="30" value="<?php echo  $con_nom; ?>" id="con_nom" autocomplete="off" onfocus="import_type[0].checked=true"/> 
     1541                                                    <input type="text" class="widefat" name="con_nom" size="30" value="<?php esc_attr_e($con_nom); ?>" id="con_nom" autocomplete="off" onfocus="import_type[0].checked=true"/> 
    15321542                                                </label> 
    15331543                                                <label><?php _e('E-mail', 'eelv-newsletter'); ?> 
    1534                                                     <input type="email" class="widefat" name="con_email" size="30" value="<?php echo  $con_email; ?>" id="con_email" autocomplete="off" onfocus="import_type[0].checked=true"/> 
     1544                                                    <input type="email" class="widefat" name="con_email" size="30" value="<?php esc_attr_e($con_email); ?>" id="con_email" autocomplete="off" onfocus="import_type[0].checked=true"/> 
    15351545                                                </label> 
    15361546                                            </p> 
  • eelv-newsletter/branches/stable/readme.txt

    r1659947 r1659964  
    55Requires at least: 3.8 
    66Tested up to: 4.7.5 
    7 Stable tag: /trunk 
     7Stable tag: /stable 
    88License: GPLv2 
    99License URI: https://www.gnu.org/licenses/gpl-2.0.html 
     
    128128== Changelog == 
    129129 
     130= 4.6.1 = 
     131Release date: 2017-05-18 
     132 
     133- Fix cross-site scripting (XSS) vuln in address book 
     134- Fix cross-site request forgery (CSRF) vuln in address book 
     135 
    130136= 4.6 = 
    131 Release date: 2017-05 
     137Release date: 2017-05-17 
    132138 
    133139- Adds variables in templates: {blog_name}, {blog_url}, {blog_description}, {blog_image} 
     
    526532== Upgrade notice == 
    527533 
     534= 4.6.1 = 
     535 
     536Security update: fixes XSS/CSRF vulnerabilities in address book 
     537 
    528538= 4.1.0 = 
    529539The default burst interval has changed to 50 mails per 5 minutes. 
Note: See TracChangeset for help on using the changeset viewer.